CISA 下達命令,要求聯邦機構定期追踪及維護網路資產和漏洞

10月3日,美國網路安全和基礎設施安全局(CISA) 發布了一項新的約束性作業指引 (Binding Operational Directive-BOD),指示聯邦政府旗下各單位在未來六個月內必須實現追踪其網路上的資產和漏洞,以提高聯邦網路上的資產可見性和漏洞檢測能力。

BOD 23–01 旨在通過了解其網路中的所有資產以及影響它們的漏洞來幫助聯邦機構提高其網路安全管理能力。聯邦機構有六個月的時間來識別其環境中網路上的 IP 資產以及相關的 IP 網址(主機),並發現和報告這些資產上的可疑漏洞,包括錯誤配置、過時的軟體和缺乏的修補。

名為 BOD 23–01 並於 2023 年 4 月 3 日生效的新指引要求聯邦民事行政部 (FCEB) 機構每 7 天執行一次自動資產發現,此發現必須涵蓋該機構使用的整個IPv4空間,此外,該指令要求FCEB機構每14天對所有發現的資產(包括所有發現的nomadic/roaming設備)啟動漏洞枚舉,CISA 了解,在某些情況下,可能無法在 14 天內完成對整個企業的全面漏洞發現。但是,它補充說,仍應定期啟動枚舉過程,以確保能定期掃描機構內的所有系統,並在發現後的72小時內自動將漏洞枚舉結果導入在機構的連續診斷和緩解(Continuous Diagnostics and Mitigation-CDM)儀表板,以利向CISA提供有關資產和漏洞資訊。根據指引,由於已得到Improving the Nation’s Cybersecurity(改善國家網路安全)行政命令的授權,到 2023 年 4 月 3 日,聯邦機構和 CISA 將通過 CDM 計劃部署更新的 CDM 儀表板配置,使 CISA 分析師能夠存取漏洞枚舉數據。

CISA 表示BOD 23–01指引,可確保資產管理和漏洞檢測實踐,從而增強其組織的網路彈性,並補充說這將有助於縮小攻擊面的差距。 BOD 23–01的目標是維護最新的網路資產清單,識別軟體漏洞,跟踪機構的資產覆蓋範圍和漏洞徵,並在規定的時間間隔內將該資料分享給 CISA。CISA主任 Jen Easterly在一份聲明中說,威脅行為者繼續瞄准我們國家的關鍵基礎設施和政府網路,以利用未知、未受保護或保護不足的資產中的弱點,Easterly表示了解網路上的內容是任何組織降低風險的第一步。

雖然該指令是對聯邦民事機構的授權,但 CISA仍敦促所有企業,包括私營實體和州政府,審查和實施嚴格的資產和漏洞管理計劃。

 “轉貼、分享或引用文章內容,請註明出處為竣盟科技 https://www.billows.com.tw , 以免觸法”